17、软件与基础设施开发全解析

软件与基础设施开发全解析

1. 软件开发生命周期与审计

信息系统审计师应参与软件开发生命周期（SDLC）的每个阶段，包括实施后审查，以确保应用程序按照审计师关注的控制或监管要求运行。审计师的反馈必须包含在初始和后续审查的问题及评论中。

软件在实施后立即进入维护阶段，从此时起，对环境的所有更改都必须在正式流程下进行，这些流程包括事件管理、问题管理、缺陷管理、变更管理和配置管理。在切换完成时，所有这些流程都应根据需要进行修改，以适应新应用程序。

2. 软件开发风险

软件开发并非毫无风险，即使管理层为软件开发项目提供了足够的资源并支持可行的方法，失败的可能性仍远高于成功。软件开发项目的具体风险如下：
|风险类型|具体描述|
| ---- | ---- |
|应用不足|应用程序可能无法支持所有业务需求，在需求和规范阶段可能会忽略、无视或未充分重视某些业务需求，导致应用程序未得到充分利用甚至被弃用|
|项目风险|如果应用程序开发（或采购）项目管理不善，可能会超出预算和时间限制，甚至导致项目被放弃|
|业务效率低下|应用程序可能无法满足业务效率期望，例如难以使用、运行缓慢，或业务流程需要额外的人工工作，导致关键业务任务耗时过长或需要更多资源|
|市场变化|从软件开发项目获批到完成期间，市场条件的突然和意外变化可能会给项目带来灾难，如宏观环境中的供应或价格冲击会影响成本，市场变化还可能导致产品和服务利润率下降，使项目投资回报率倒挂|

3. 替代软件开发方法和技术

多年来，瀑布式软件开发方法是大多数组织的默认模式，但 20 世纪 70 年代和 80 年代的技术突破带来了